php: in datei schreiben
-
RandomAccess85 schrieb:
bobobo schrieb:
Ok denn lass ich am besten den Installer weg und schreib ledelig im Readme, dass die MySQL Daten in der Config per Hand einzutragen sind
Die Config wird ja idealerweise eh nur einmal angefasst! Wenn sie steht, steht sie.VlG
Idealerweise kann man die datei bei den meisten leuten dann auch einfach schön downloaden. Hehe. Ist jetzt nicht böse gegen den ersteller gerichtet aber wenn du eine grundfunktion nicht kennst habe ich das gefühl das es bei dir ähnlich sein wird
:schland:
-
Hä? Das versteh ich jetzt nicht! Wieso kann man die Datei runterladen? Verzeichnisse kann man doch schützen. Stichwort ".htaccess"
VlG
-
ich denke, er meint, dass man nach dem Setup ja eine bearbeitete config.php zum download anbieten kann, damit sie der Nutzer nur noch in sein Verzeichnis kopieren muss
-
Achso. Dann stellt sich die Sache gleich ganz anders da
Danke
-
zwutz schrieb:
ich denke, er meint, dass man nach dem Setup ja eine bearbeitete config.php zum download anbieten kann, damit sie der Nutzer nur noch in sein Verzeichnis kopieren muss
Nein, er meint dass bei den meisten Pappnasen eine Datei "config.inc" etwa gerade nicht serverseitig geschützt ist und deshalb einfach mit ein wenig Gespür gefunden werden kann. Bei einem gut konfigurierten Server macht das zwar nichts, weil i.d.R. nur der MySQL-Zugriff drinsteht und dieser nur lokale Connections zulassen sollte. Ist aber trotzdem unschön und sollte vermieden werden. Sobald der Server schlecht konfiguriert ist oder je nach Einsatzgebiet öffnest du einem Angreifer sonst Tor und Pforte.
-
árn[y]ék schrieb:
zwutz schrieb:
ich denke, er meint, dass man nach dem Setup ja eine bearbeitete config.php zum download anbieten kann, damit sie der Nutzer nur noch in sein Verzeichnis kopieren muss
Nein, er meint dass bei den meisten Pappnasen eine Datei "config.inc" etwa gerade nicht serverseitig geschützt ist und deshalb einfach mit ein wenig Gespür gefunden werden kann. Bei einem gut konfigurierten Server macht das zwar nichts, weil i.d.R. nur der MySQL-Zugriff drinsteht und dieser nur lokale Connections zulassen sollte. Ist aber trotzdem unschön und sollte vermieden werden. Sobald der Server schlecht konfiguriert ist oder je nach Einsatzgebiet öffnest du einem Angreifer sonst Tor und Pforte.
jep genau :schland:
-
Hallo,
davon ausgehend dass die Config ein PHP-Script ist, kann die keiner runterladen! :p
VlG
-
RandomAccess85 schrieb:
Hallo,
davon ausgehend dass die Config ein PHP-Script ist, kann die keiner runterladen! :p
VlG
klar kann man das
-
Hallo,
1. Wie?
2. Wo legst du deine Verbindungsdaten ab wenn nicht in einem PHP-Script?VlG
-
**Wie?
**
Lach, na im nubigsten fall einfach mit "Ziel speichern unter"wie schon erwähnt besser absichern
-
Öh
Wat passiert denn deiner Meinung nach bei folgendem Aufruf:
http://irgendeineurl/admin/config/config.inc.phpVlG
-
Im aufruf würde sicher nur eine wieße seite zu sehen sein. Aber wenn ich jetzt hier auf den link (der alles noch viel einfacher macht) mir Rechtsklick "Ziel speichern unter" mache hab ich das file und kann alles lesen ...
edit:
man mache einfach solche späße... :<Files config.php> Deny from all </Files>
-
Hallo,
was du speichern kannst ist der durch den Webserver generierte Content, aber nicht den Inhalt des PHP-Scripts...
Somit ist es auch ungefährlich eine config.php mit wichtigen Dingen zu füllen. Beim Aufruf passiert dann einfach nichts! Außer man macht sowas:if ($_SERVER['script_name'] == "config.inc.php") { print "Super, du hast die Config gefunden!"; exit; }
VlG
-
Also ich habs jetzt nicht nach gestellt, aber als ich solche witzeleien probiert hatte hab ich über wget einfach die php dinger ziehen können...?!
edit:
vll waren damals auch nur 99% der Server mies konfiguriert ;D. Gibt auch mittel und wege mal den Parser irgend wie zu bremsen. Man kann immer irgendwie alles machen :D:D:D
-
wenn PHP abstürzt und nur als CGI-Plugin läuft, hat man ein Problem.
Deswegen sollten Config-Dateien mit sensiblen Inhalt auch außerhalb der Reichweite des Webservers liegen
-
Alles richtig. Im Normalfall funktioniert der von PRIEST beschriebene Weg aber natürlich nicht, und das war seitdem ich mit Webdesign zu tun habe (~2003) nie anders.